打造中国版的SCC | 《个人信息出境安全评估办法(征求意见稿)》评析
前 言
国家互联网信息办公室在6月13日凌晨发布《个人信息出境安全评估办法(征求意见稿)》,请社会各界在7月13日前提出意见。
《中华人民共和国网络安全法》是中国关于网络安全与数据保护的一个综合性立法,包括若干项制度建设,而对于数据跨境的监管则是重要制度之一。自2017年4月发布《个人信息和重要数据出境安全评估办法(征求意见稿)》(“旧办法”)后,关于数据跨境传输的监管一直是网络运营者(尤其是跨国企业)的关注焦点,旧办法几易其稿,仍未获得多方利益相关方的认可。同时,在国际化和数字化的大时代背景下,数据跨境传输不可避免,其监管制度的落地一直是困扰跨国公司的一个重大问题。
一、推倒《个人信息和重要数据出境安全评估办法》架构,另起炉灶
《个人信息出境安全评估办法(征求意见稿)》(“新办法”)与旧办法相比,有以下实质性变化,可以说是另起炉灶:
个人信息和重要数据分开监管
个人信息跨境传输的监管主要关乎于个人信息主体的权利行使,而重要数据的保护则以国家安全和公共利益为主要考量,二者的价值取向不同,立法重点也应当不同。因此,个人信息和重要数据分开监管是一个恰当的思路,且,制定个人信息跨境保护机制中,可以设定恰当的民事权利义务和便利的个人信息主体行权渠道为主要思路。而对于重要数据的跨境监管,应当以行政监管为主要手段。
摒弃了原有的两层安全评估机制
旧办法就数据出境规定了自评估和监管机构评估的两层架构,涉及数据出境的网络运营者,均要自行组织对数据出境进行安全评估,出境数据达到法定标准的,网络运营者应报请行业主管或监管部门组织安全评估。而在新办法中,个人信息出境前,网络运营者均需要向网信部门申报个人信息出境安全评估。
删除了事先经数据主体同意的要求
旧办法要求,个人信息出境前,应向个人信息主体说明数据出境的事项并经其同意,而新办法则仅要求网络运营者告知个人信息主体数据出境的情况。
这些变化反映了最近国际形势的变化及监管部门监管思路的演变。
二、中国版的“标准合同条款SCC”机制若隐若现
从《个人信息出境安全评估办法(征求意见稿)》条款中,不难看出GDPR“标准合同条款SCC”的影子。欧盟委员会根据95指令第26条第4款,先后通过了4个版本的标准合同条款,即SCC2001C、SCC2004C、SCC2001P以及SCC2010P。欧盟对SCC的基本思路是通过合同的权利义务安排,弥补跨境传输后对数据法定保护的不足,设定一个基于合同条款的、对数据主体充分保护的机制。
在保障标准合同条款执行机制方面,通过合同条款设定数据控制者和处理者面向数据主体的民事义务,及面向监管机关的行政义务。如果数据控制者或处理者违反合同条款的义务和责任,则会面临民事赔偿责任和行政处罚责任。
在新办法中,采用了与SCC类似的机制:
网络运营者与境外个人信息接收者需要签订数据合同,且需要向网信部门申报;
数据合同应当规定数据出境的明确场景(目的、类型、保存时限);
数据合同中应当明确规定网络运营者和数据接收方所承担的责任和义务;
数据合同中应当设定个人信息主体是个人信息主体权益条款的受益人,且具有索赔的权利;
赋予个人信息主体知情权,应个人信息主体的请求,网络运营者应提供数据合同的副本;
赋予监管机构的监管和处罚权力,网信部门可以检查数据合同规定义务的履行情况、是否存在违反国家规定或损害个人信息主体合法权益的行为等。
基于该机制与SCC实质的类似性,可以将新办法确定的数据跨境机制称为中国版的SCC。
但是,中国版的SCC与GDPR的SCC机制也存在着实质性差异。GDPR的SCC机制,主要依赖于通过合同设定民事权利和义务来督促数据控制者达到较高的数据保护水准,而行政监管行为的介入以事后或事件驱动为主要方式。而在中国的监管方案中,行政监管的有形之手会贯穿整个数据周期。对此,下文会做详细的介绍。
三、未解决的难点:数据主体如何行使权利?
新办法规定,个人信息主体是合同中涉及个人信息主体权益的条款的受益人,个人信息主体合法权益受到损害时,可以自行或者委托代理人向网络运营者或者接收者或者双方索赔,网络运营者或者接收者应当予以赔偿,除非证明没有责任。对此,我们理解数据合同是双方合同,即网络运营者和数据接收者之间的合同。而根据合同的相对性原则,合同所设定的权利义务关系仅约束于合同双方,对第三方并不产生效力。因此,新办法的框架下,个人信息主体作为受益人及赋予损害赔偿的请求权,是否会产生法律上的障碍?
第三方受益人规则赋予受益于合同履行的非合同相对方对合同违约方提起诉讼的权利,可请求法院强令其履行义务的权利。在我国,运用第三方受益人规则还缺乏理论上的研究及司法上的实践,其是否可行,仍待立法和司法实践。
四、有形之手的行政监管贯穿整个数据周期
与GDPR项下的SCC机制不同,在新办法的框架下,行政机构对数据跨境传输的监管贯穿整个数据周期,这也可能是目前中国数据保护水平和司法有效性的现状所决定的。
网信部门作为主要的数据监管部门,对数据跨境传输会有以下监管节点:
省级网信部门在收到个人信息出境安全评估申报材料并核查其完备性后,应当组织专家或技术力量进行安全评估;
网络运营者应当每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门;
发生较大数据安全事件时,应及时报所在地省级网信部门;
定期组织检查网络运营者的个人信息出境记录;
出现违法情况,网信部门可以要求网络运营者暂停或终止向境外提供个人信息;
接受对违反本办法向境外提供个人信息的行为的举报。
需要讨论的一个问题是,效率和安全的平衡问题。在当今时代,各种类型企业都有数据跨境传输的需求,因此,在保障数据安全的前提下,努力保持数据传输的便利性应当是立法的一个价值取向。在新办法确定的制度下,跨境数据传输的便利性、效率都会打折扣,企业的运营成本也会显著提高。另一方面,面对如此大量的安全评估需求,监管部门的监管能力和行政成本也是需要考虑的问题。
基于此,我们建议建立一个例外的机制,对于中小企业或小规模、偶尔的跨境数据传输,应当从新办法的严格要求的程序中剥离出来,给予豁免。
五、问题与思索
新办法中也有几个问题值得讨论。
一是 关于境外机构的监管。按照新办法第二十条规定,境外机构经营活动中,通过互联网等收集境内用户个人信息,应当在境内通过法定代表人或者机构履行本办法中网络运营者的责任和义务。跨境电商作为目前常见的一种电子商务方式,交易双方身处不同的法域,通过跨境交付的方式完成交易。而对于境外的网络运营机构,是否要进行一致性的监管是值得思考的。我们认为,对于有目的开拓中国市场的境外机构,比如说有中文语言、人民币支付或境内物流,则可纳入监管范围;而对于无意于开拓中国市场的机构,即使发生了零星的跨境交易,也无须进行监管。境外机构在境内受监管的联系主体,不必是其法定代表人,任命能够代表公司的代表即可。
二是 关于救济权利。新办法规定,网络运营者对省级网信部门的个人信息出境安全评估结论存在异议的,可以向国家网信部门提出申诉。那么对于申诉结果仍存在异议的,网络运营者是否享有诉权?我们认为,如若将网信部门的评估行为认定为行政行为的话,就应当赋予诉权。
三是 关于境外接收者向第三方的数据传输。新办法规定,境外接收者不得将接收到的个人信息传输给第三方,但满足特定条件的可以向第三方传输。向第三方传输只是一个行为界定,产生的后果可能是数据共享、数据转让、数据公开和数据委托处理等。对于允许向第三方传输的例外情形的规定,还应当细化到不同的场景,据此确定具体的条件,不能一概地给予例外。唯有此,才符合网络安全法所规定的授权同意的要求。
结语
国家互联网信息办公室在5月28日发布的《数据安全管理办法(征求意见稿)》提出将重要数据的出境评估及行业主管部门或网信部门的批准作为重要数据出境的基本监管原则。此次《个人信息出境安全评估办法(征求意见稿)》提出的个人信息出境监管新框架,进一步体现了监管部门的监管新思路。为帮助企业更好的理解中国复杂的执法监管环境,更有效的降低法律风险,我们将结合在网络安全与数据保护领域的广泛实践经验,持续推出系列文章,对立法及政策走向及时进行解读,希望对企业的合规工作有所帮助。
End
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网
作者往期文章推荐:
《国家安全更聚焦 | <网络安全审查办法(征求意见稿)>出新招》
《儿童个人信息保护新规出台,与COPPA的明示同意区别有哪些?》
《小数据安全法出台 |《数据安全管理办法(征求意见稿)》解析》
《App监管再加码:<App违法违规收集使用个人信息行为认定方法(征求意见稿)>公布》
《管理措施和技术措施的平衡:<互联网个人信息安全保护指南>》
《实施半年后再修订:《信息安全技术个人信息安全规范》应时而变》
《致敬数据合规元年 | 表析《网络安全法》配套法律法规和规范性文件》
《致敬数据合规元年 | 2018《网络安全法》执法案件大盘点》
《他山之石 | 从全球数据跨境流动监管政策看我国相关制度发展》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。